正确的策略配置

　　在这个虚拟的方案中，Woodgrove National Bank 已经配置了 DirectAccess，使 IPsec 策略要求提供包含 NAP 系统健康 OID 和客户端身份验证 OID 的客户端证书。Woodgrove 以强制模式使用 NAP(而不只是报告模式)，这意味着将禁止不健康的客户端与健康的客户端通信。

　　最后，Woodgrove 配置了 DirectAccess IPsec 策略，使用两个基于证书的凭据：一个来自客户端计算机，一个来自用户。Woodgrove 按照上述建议选择了双证书配置，以便更好地利用其 PKI 投资，消除远程访问的静态密码并利用证书自动注册功能。

　　本示例的其余部分假定您具备相应的实践知识，了解 DirectAccess、NAP 和 IPsec 强制模式的工作原理。要深入了解这些技术，请参见以下资源：

　　DirectAccess 执行概述

　　网络访问保护简介

　　理解 NAP IPsec 强制

　　下面的报告解决方案利用了 DirectAccess 服务器上的 IPsec 的内置审核功能以及网络策略服务器 (NPS) 的健康注册机构 (HRA) 功能的审核功能。这些审核功能会在系统和安全事件日志中生成事件，我们将提取这些事件并进行报告。在制定此方法时，我们发现默认生成的是 HRA 事件，而 IPsec 事件可能需要明确启用。您可以在命令提示符窗口中使用以下命令来启用 IPsec 事件：

　　auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Main Mode" /success:enable /failure:enable

　　auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Quick Mode" /success:enable /failure:enable

　　auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Extended Mode" /success:enable /failure:enable